Un attacco informatico durato 4 mesi contro un'azienda statunitense espone una minaccia avanzata legata agli hacker cinesi
Un attacco informatico scoperto di recente ha portato alla luce un'operazione altamente sofisticata che ha preso di mira una grande organizzazione statunitense, con prove che puntano ad hacker sponsorizzati dallo stato provenienti dalla Cina. Questa intrusione allarmante, descritta in dettaglio in un rapporto di Symantec, di proprietà di Broadcom, è durata almeno quattro mesi quest'anno, a partire da aprile e potenzialmente anche prima. La portata e i metodi dell'attacco sottolineano le strategie in evoluzione degli avversari informatici e i rischi affrontati dalle organizzazioni critiche in tutto il mondo.
Sommario
Tattiche e strumenti sofisticati evidenziano minacce avanzate
Symantec ha identificato per la prima volta i segnali della violazione l'11 aprile 2024 e ha scoperto che l'attacco è durato fino ad agosto. Durante questo periodo, gli aggressori si sono spostati lateralmente sulla rete della vittima, compromettendo numerose macchine. Alcuni dei sistemi presi di mira erano server Microsoft Exchange, una mossa che suggerisce che gli aggressori hanno cercato di raccogliere informazioni accedendo a dati di posta elettronica sensibili.
Gli strumenti di esfiltrazione implementati durante la campagna confermano ulteriormente che informazioni preziose sono state estratte dall'infrastruttura della vittima. Gli hacker hanno utilizzato una combinazione di strumenti open source e utility Windows integrate per potenziare il loro attacco. Strumenti come FileZilla, Impacket e PSCP sono stati implementati insieme a tecniche living-off-the-land, sfruttando Windows Management Instrumentation (WMI), PsExec e PowerShell per eseguire comandi dannosi e mimetizzarsi in attività di rete legittime.
Il ruolo della Cina e l'uso delle tecniche di spionaggio informatico
Sebbene il nome dell'organizzazione presa di mira non sia stato divulgato, le sue importanti operazioni in Cina aggiungono peso ai sospetti che gli aggressori fossero collegati a gruppi sponsorizzati dallo stato cinese. Il cyberattacco si è basato in gran parte sul caricamento laterale di DLL, una tattica distintiva dei team di hacker cinesi. Gli artefatti della violazione sono in linea con quelli osservati in "Crimson Palace", una precedente operazione sostenuta dallo stato. Inoltre, questa organizzazione era stata presa di mira in precedenza nel 2023 da un gruppo noto come Daggerfly, noto anche come Bronze Highland, Evasive Panda e StormBamboo.
Implicazioni più ampie per la sicurezza informatica
Questa violazione riflette tendenze più ampie all'interno dell'ecosistema offensivo informatico della Cina, che Orange Cyberdefense ha analizzato in dettaglio. Le operazioni sponsorizzate dallo stato cinese spesso confondono i confini tra entità pubbliche e private, sfruttando le università per la ricerca avanzata e impiegando appaltatori per eseguire attacchi. Le società false vengono spesso create da individui collegati a unità militari o di intelligence cinesi per oscurare l'attribuzione, procurarsi infrastrutture digitali e reclutare hacker senza destare sospetti.
Questi risultati sottolineano la natura persistente e avanzata delle operazioni informatiche cinesi. La campagna che ha come bersaglio questa azienda statunitense serve come un duro promemoria del panorama delle minacce in evoluzione e dell'importanza di solide difese di sicurezza informatica per proteggere le risorse critiche dagli avversari degli stati nazionali.